You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Strong SSL Security on nginx Published: 14-06-2015 | Last update: 27-04-2019 | Author: Remy van Elst | Text only version of this article ❗ This post is over five years old. It may no longer be up to date. Opinions may have changed. This tutorial shows you how to set up strong SSL security on the nginx webserver. We do this by updating OpenSSL to the latest version to mitigate attacks like Heartble
はじめに 本記事では日々変わっていく安全なHTTPS(SSL/TLS)の設定に関する確認手段を紹介します。常にセキュリティ系のニュースをウォッチするのが理想なのですが、完全に追いつくのは至難の業ですよね。 脆弱性とは Wikipedia セキュリティホールより セキュリティホール は、脆弱性についての俗表現である。 脆弱性は、コンピュータソフトウェアの欠陥(バグ、不具合、あるいはシステム上の盲点)の一つで、本来操作できないはずの操作(権限のないユーザが権限を超えた操作を実行するなど)ができてしまったり、見えるべきでない情報が第三者に見えてしまうような不具合をいう。ハードウェアおよびそれを含めたシステム全般の欠陥を指すこともある。 製品XXXのバグにより第三者に悪用されてしまう!といったものから、先日のインテルCPUに対するMeltdown, Spectreといった、仕様に対する脆弱性まで様
©Copyright Yasuhiko Ito 10月の中旬ころに、google のセキュリティチームから POODLE という SSL3.0 の脆弱性が報告されたというニュースを見ました POODLE によって SSL3.0 の暗号通信が解読できることが実証されたので、今後 SSL3.0 は使わずに完全に捨てましょうという流れになっています 今回改めて調べてみると、SSL は過去にも CBC 暗号を使用した場合の脆弱性がいくつか報告されていました Padding Oracle 攻撃 (2002年) BEAST 攻撃 (2011年) Lucky Thirteen 攻撃 (2013年) これらの攻撃をなんとかしのいで生き残ってきた SSL3.0 でしたが、今回の POODLE が致命傷となってついに死んでしましました SSL3.0 の何がマズかったのか、どんな弱点があったのかを見ていきましょ
【変更履歴 2018年2月15日】当初の記事タイトルは「いまなぜHTTPS化なのか? 技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景」でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途
サーバにSSLの設定を適用する上で、設定すべき項目は多いし、間違えばセキュリティ的にまずいことになってしまう、あるいは正常に接続できないなど、なかなかややこしいものです。 幸い、そのようなSSLの設定を検証するサービスがあります。 SSL Labsは、Qualysというセキュリティ会社が運営している、SSL関連の便利サイトです。右上にある「Test Your server」からサーバのテストモードに入れます。 なお、具体例がないとわかりづらいかと思いますので、ここから先はqiita.comをチェックした結果を見ていくことにしましょう。 サーバのチェック 同じドメインでいくつかサーバがある場合、まずはサーバを選択する画面が出ます(評価はサーバごとに行います)。サーバを選べば、通信を行って、SSLの設定を評価していきます。 総合評価 qiita.comでは「A」ですが、「A+」「A」「A-」「
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く